顶象联合信通院发布《业务安全白皮书》
6月24日,由中国信息通信研究院、中国通信标准化协会主办的“2022首届业务与应用安全发展论坛”在北京召开,来自中国信通院、顶象、阿里巴巴、华为、字节跳动、浪潮云等机构和企业的近百位专家齐集一堂,就国内业务安全现状、发展和未来趋势进行了深入探讨。
会上公布了“2022可信安全评估结果”、“2022安全守卫者计划—业务/应用安全专题优秀案例评选结果”、“业务安全推进计划”成员单位、“业务安全全景视图”,并发布了《业务安全白皮书—数字业务风险与安全》,这是国内首部专门研究数字业务安全的白皮书,由顶象与信通院联合制作。
《业务安全白皮书—数字业务风险与安全》(以下简称“白皮书”)系统对业务安全风 险的发展态势和关键技术要求进行分析,帮助企业梳理数字化转型浪潮下将面临的业务安全风险以及相应的防控技术,为企业建设更完备高效的业务安全能力体系提供策略指导。
数字业务风险多样,黑灰产呈组织化
随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
一方面,业务安全隐患形式多样,在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为;另一方面,欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
《白皮书》认为,以大 规模牟利为目的网络黑灰产,熟悉业务流程以及防护逻辑,能够熟练运用自动化、智能化的新兴技术,不断开发和优化各类攻击工具,采用盗取、伪造、破解、劫持等手段,发起薅羊毛、刷单炒信、刷量、虚假账号、恶意爬虫、团伙骗贷、养卡套现、洗钱、山寨App、虚假考勤等欺诈攻击。数据显示,国内黑灰产从业人员近200万,每年造成的业务损失达数千亿元。
建设业务安全体系,企业需重点考虑四点
《白皮书》认为,国内 数字化转型及数字化原生企业,将长期面临业务欺诈的严峻挑战,企业的业务安全体系建设更需要考虑如下四个问题。
第一,业务场景丰富,应用环境繁杂,企业对业务风险与业务安全的认知不够,缺乏专业人才。
第二,业务风险复杂多变,已知的防控手段难以防控最新的业务风险,无法从全局视角洞察欺诈风险。
第三,单点防御作战能力无法应对全网随时出现的攻击,传统安全机制和运营思路也不适应新环境下产生的威胁。
第四,业务安全需要需要以业务为中心,企业基于业务需求和行业特征构建安全体系。
作为安全服务中最贴近业务、最直接面向用户核心价值的安全维度,企业需构建一个提供全流程防护,能够满足不同业务场景,拥有各行业策略且能够基于自身业务特点实现沉淀和更迭演进的业务安全,为不同业务场景提供安全防护,以有效抵御业务欺诈威胁,解决各个业务环节的安全问题,为业务的稳定、安全运行保驾护航。
业务安全云,满足不同业务场景的防护需求
《白皮书》倡议建立一 个全链路的业务安全云。业务安全云打通产业链上下游,链接各行业和业务的“信息孤岛”,拥有威胁感知、安全防护、数据沉淀、模型建设、策略共享等安全服务,提供全网迭代、覆盖不同行业和业务场景的策略,以及业务安全情报和风险数据,实现业务安全能力零启动、风险情报和策略持续共享,帮助企业实时响应的联防联控机制。
业务安全云具备设备真伪识别能力、行为验证能力、风险感知能力、高性能实时计算能力、高效的策略执行能力、攻击还原能力。更有如下四大优势:
全网风险感知。融合全网风险态势,为行业企业提供全网的安全攻防对抗情报。
实时防御策略。基于攻防实战中打磨的技术和实战经验,形成行业通用策略和针对需求定制的专属策略,并通过云端实时迭代和联动。
一体化风险处置。提供风险识别、防御处置、攻击还原、人工审查、关联分析、数据沉淀等一体化闭环风险处置。
风险数据沉淀。实现黑样本数据、风险行为特征的沉淀,并通过云端下发各业务安全体系,进一步提升整体风险防控能力。
《白皮书》重点介绍了 首个业务安全云——顶象防御云,以及在金融、电商、出行、航空、保险等行业的应用实践案例。
顶象防御云基于多年实战经验和技术产品,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。顶象防御云主要包含业务感知防御平台、验证码、设备指纹和端加固等产品。
未来业务安全呈现“四化”特征
《白皮书》认为,业务 安全建设整体将呈立体化、精细化、智能化、云化发展。
立体化。基于数字业务的特点和属性,综合运用各种技术手段和工具,从多渠道、多角度、全流程进行防控,并与业务的上下游的安全体系形成协同,从而形成立体的防护体系,满足不同场景下业务风险变化,以有效防控数字业务安全。
精细化。通过覆盖全流程的、立体防控体系,提供灵活、弹性的差异化防控策略和措施,以应对复杂场景下多变的业务风险,既能有效防范已知风险和潜在的未知风险,保障业务安全,又不影响用户多元化体验和需求。
智能化。利用大数据、人工智能等技术,切实增强数据应用能力,提升数据洞察能力和基于场景的数据挖掘能力,让数据发挥应用的价值,实现业务全要素、全过程、全方位的风险感知、风险监测,并对业务风险及其防控数据进行智能化分析、精准化预测和可视化管理。
云化。不同业务场景、差异的网络环境、多层次的安全需求却又需要统一安全管理。云化的产品和服务能够多层次安全需求,能够适应不同业务需求弹性扩容、动态调整,更大幅简化用户在产品交付和运维上的工作,具有便捷、简化流程、降低成本等特点。
此外,新技术与业务防控技术的组合应用助力业务安全创新升级。《白皮书》认为,虹膜识别、声纹识别、生物探针、区块链、机器学习以及人脸识别应用安全等技术在安全防控上发挥越来越重要的作用。
《业务安全白皮书—数字业务风险与安全》是国内首部业务安全白皮书,由北京顶象技 术有限公司、中国信息通信研究院云计算与大数据研究所联合制作发布。